¿Cómo un ISP combate el agotamiento del ancho de banda / volumen DDoS?

6

Aunque es similar a esta pregunta , Pregunto con respecto a un entorno ISP tradicional en el que está ejecutando su propio centro de servidores y listas de acceso de firewall.

Con un ataque de Agotamiento de Ancho de Banda, el éxito del ataque es simplemente una medida de la cantidad de ancho de banda que han comprado, en comparación con la cantidad de centros de datos de destino disponibles.

Un ataque bien orquestado provendrá de más de un ISP, o incluso de muchos (DDoS), y la dirección IP de origen será aleatoria. Esto hace que sea más difícil para el ISP receptor bloquear el tráfico antes de llegar al centro de datos del cliente, y también elimina las represalias simples como una solución posible (aunque no deseable).

  • ¿Me gustaría saber cuál es el procedimiento para minimizar el éxito de tal ataque, más allá de la simple respuesta de comprar más ancho de banda? Asumo que la identificación de la fuente y el bloqueo de los paquetes solo se puede lograr con el ISP, y no hay nada que los propietarios de los centros de datos puedan hacer por su parte.

  • Si el ataque se origina en otros ISP, ¿es necesario que los ISP de origen cooperen para detener el ataque?

  • Cuando el ataque DDoS se bloquea con éxito, ¿se persigue con frecuencia una acción legal? Supongo que el atacante podría iniciar fácilmente una nueva cuenta y ejecutar los ataques nuevamente, de lo contrario.

  • Esta es una conexión a internet de fibra óptica. En un cierto nivel de ancho de banda, ¿los ataques a distancia se vuelven menos exitosos? (asumiendo un número limitado de fuentes de ataque)

pregunta George Bailey 03.08.2016 - 16:28
fuente

1 respuesta

4

La respuesta a su pregunta varía enormemente según el ISP. Algunos ISP son muy capaces de manejar ataques DDoS en sentido ascendente, mientras que otros no hacen absolutamente nada para detenerlos. Básicamente, hay tres formas diferentes en que un ISP puede manejarlos:

  1. Compre ancho de banda adicional y deje pasar cualquier ataque. El más simple y peor solución.
  2. Tenga sistemas de monitoreo simples para detectar ataques y hacer un agujero negro. El tráfico se dirigió a la IP de destino. Esto protege la red como un todo pero aún causa que el cliente sufra un DoS.
  3. Alguna forma de " scrubbing ". Este es un proceso, usualmente tercero. partido, de detectar ataques y comenzar la inspección de paquetes para probar y filtrar el tráfico ilegítimo. Una gran variedad de métodos son utilizado, desde filtrar el tráfico de países extranjeros para detectar ataques de amplificación (como Amplificación de DNS , como se describe dentro de este artículo US-CERT). Este es el método preferido que la mayoría Los grandes proveedores están cambiando a, ya que permite al cliente permanecer en línea.

Por supuesto, no importa lo que haga el ISP, solo pueden filtrar el tráfico en su propio límite de red. Como es el caso en los ataques DDoS más grandes , el ancho de banda va a la ISP en sí puede ser abrumado. Hay poco que alguien pueda hacer en esta situación.

Desafortunadamente, no hay mucho que los usuarios de la base de datos puedan hacer en su final. Como dice, en un ataque de agotamiento de ancho de banda no importa si el propietario de la base de datos puede filtrar el tráfico si no puede recibir ningún tráfico.

Por mucho que nos gustaría que los ISP cooperen para detener estos ataques, muchos provienen de países extranjeros y del llamado " alojamiento a prueba de balas "proveedores que ignoran cualquier queja de mal uso.

La acción legal casi nunca puede llevarse a cabo. Los atacantes son muy buenos para esconderse detrás de redes de bots, y puede ser muy difícil de encontrar incluso si alguien se preocupa por investigar. Si se encuentran, a menudo se encuentran en países extranjeros que no tienen leyes que rigen estos ataques. Los de países más modernos se esconden en áreas legalmente grises, haciendo cosas como ofrecer " stresser" Servicios para "probar" su sitio web contra ataques sin molestarse en comprobar si realmente posee el sitio web.

Las conexiones de fibra óptica no reducen el ataque de manera significativa de la misma manera que no disminuyen el tráfico legítimo.

    
respondido por el TheGiantPossum 05.08.2016 - 17:55
fuente

Lea otras preguntas en las etiquetas